Clash Verge 在 macOS 上提示系統延伸被阻擋？在隱私權與安全性中放行並驗證 TUN

你看到的症狀，多半與「網路延伸」權限有關

在 macOS 上使用 Clash Verge 或同系列的 Verge 用戶端，當你從僅開系統代理切換到 TUN 模式（介面上常寫成虛擬網卡、透明代理、TUN／Meta 堆疊等名稱）時，系統有時會跳出提醒，大意是「系統延伸被阻擋」或要求你到「隱私權與安全性」檢視並允許來自某位開發者的延伸功能。此時若直接忽略，介面上的 TUN 開關可能仍可切換，但實際上虛擬介面沒有成功建立，結果就是瀏覽器偶爾正常、終端機或遊戲仍直連，怎麼改規則都像打在棉花上。

這類提示與 Windows 上的 UAC 或服務模式不同：蘋果把能改動全系統路由、封包導向的能力，收斂在系統延伸（System Extension）與網路延伸（Network Extension）框架底下，必須經使用者明確同意。對使用者而言，記住一句話就夠：沒在「隱私權與安全性」按過允許，就不要假設 TUN 已經真的上線。

先釐清：系統延伸、網路延伸與 TUN 的關係

系統延伸是 macOS 用來載入核心端或接近核心端能力的一套現代化機制，取代部分傳統 KEXT 的路線。能操作虛擬網路介面、攔截或轉送 IP 層流量的元件，往往會以系統延伸的形式存在。當這類元件第一次載入、或版本更新後簽章變更時，Gatekeeper 可能先擋再問，於是你會在通知中心或對話框看到「被阻擋」類字眼。

網路延伸則是延伸功能裡專門處理 VPN、通道、DNS 與路由的一類能力。Clash Verge 啟用 TUN 時，本質上是請系統建立虛擬網路介面並調整路由，讓符合條件的封包進入 Mihomo／Clash Meta 核心；這條路徑在 macOS 上幾乎一定會碰到網路延伸相關權限與核准流程。若你把這一步當成「多餘的彈窗」關掉，核心就收不到該收的流量。

若你想先建立整體觀念，可搭配閱讀本站 Clash TUN 模式完全指南，裡面說明了 TUN 與系統代理的差異；本文則專注在蘋果這一道人工核准關卡，與如何驗證你真的已經跨過去。

步驟一：到「隱私權與安全性」放行開發者或延伸功能

當系統已經擋下延伸功能，請依序打開：蘋果選單  → 系統設定（或系統偏好設定）→ 隱私權與安全性。在較新的 macOS 上，同一頁面下半部通常會出現一段與安全性相關的說明文字，旁邊帶有「允許」或「仍要允許」之類的按鈕，對應到剛才被擋下的那位開發者或那一組延伸功能。請在該次安裝或更新後盡快按下，因為某些版本下這個入口會在一段時間後消失，屆時就得解除安裝再重裝或改用用戶端內建的修復流程觸發重新載入。

若你使用 Clash Verge Rev，介面內可能會提供「開啟系統設定」或協助重新觸發權限對話框的按鈕；可先依 Clash Verge Rev 完整使用教學 的章節操作，再回到本頁核對系統側是否已顯示允許項目。不同組建（正式版／測試版）的開發者名稱可能不同，請以畫面上實際顯示的簽署者為準，不要依網路上過期的截圖硬套。

在「隱私權與安全性」中，有時還會看到與完整磁碟取用、輔助使用等無直接關係的項目；與 TUN 最直接相關的仍是延伸功能／開發者允許區塊。若你不確定哪一個才是剛才載入的網路延伸，可先關閉用戶端，重新開啟並再切一次 TUN，讓系統再次列出對應項目，然後回到設定頁確認是否出現新的允許按鈕。

步驟二：結束程式、必要時重新開機，再開 TUN

按下「允許」之後，建議完全結束 Clash Verge（從選單列圖示選擇結束，並確認活動監視器內沒有殘留同名程序），然後再啟動一次並重新開啟 TUN。原因是延伸功能載入順序與網路服務重新註冊有時需要乾淨的工作階段；僅在介面上反覆切換開關，偶爾會卡在未載入完成的中間狀態。

若你剛完成 macOS 小版本更新，蘋果有時會重置部分安全性核准。此時即使昨天還能用，今天也可能再跳一次阻擋訊息；請把「更新後重跑一遍隱私權流程」當成例行公事，而不是誤以為軟體壞掉。若同時安裝了其他會註冊網路延伸的 VPN，也建議先完全結束其他客戶端，再測試 Verge，以降低延伸衝突與路由表互相覆寫的機率。

企業裝置、MDM 與「鎖定模式」會讓你無法自行允許

若你的 Mac 由公司或學校以 MDM 管理，設定檔可能禁止使用者啟用未審核的系統延伸，此時「隱私權與安全性」裡根本不會出現允許按鈕，或按了也無效。這不是 Clash Verge 單方面的問題，而是裝置政策封頂。同理，個人帳號若開啟了蘋果的鎖定模式（Lockdown Mode），部分延伸與網路能力會被額外限縮，行為可能與一般家用機不同。

遇到這類情境，唯一解是向管理員詢問是否允許該開發者的系統延伸，或改用未被政策禁止的替代方案。自行嘗試關閉 SIP 或修改開機安全性等高風險手段並不建議，也可能違反公司資安規範。

如何驗證 TUN「真的」在接管流量？

最可靠的驗證方式，是同時看介面、路由表與實際連線出口。首先，在 Verge 內確認 TUN 已啟用且核心正在執行。接著打開「終端機」，使用 netstat -nr 或較新的 route -n get default 觀察預設閘道與介面名稱：當 TUN 正常運作時，常會看到與 utun 類似名稱的介面參與路由，或出現指向本機虛擬網段的項目（實際輸出依版本與 stack 而異，重點是與未開 TUN 時相比有合理變化）。

第二層驗證是用不受系統 HTTP 代理影響的工具測出口。例如以 curl 直接請求會回傳 IP 的檢測服務，對照開啟 TUN 前後的結果；若只有瀏覽器變了、curl 仍顯示家裡 ISP 的位址，則很可能仍是「代理-only」情境。這類症狀與本文主題高度重疊，也可交叉閱讀 Clash 開全域後只有瀏覽器通？macOS 上系統代理與 TUN 逐步排查 一文，區分是權限問題還是規則問題。

第三層是用用戶端日誌：當封包實際進入核心，通常會看到與連線、規則匹配相關的記錄；若 TUN 介面建立失敗，則往往會在啟動當下出現錯誤行，而不是安靜無聲。將「點下開關的時間點」與日誌對齊，可以省下大量猜測時間。

仍失敗時：依序收斂問題範圍

• 再次確認「隱私權與安全性」沒有紅色提示或待按的允許鈕，包含捲動到頁面底部。
• 檢查是否同時開著其他 VPN：兩套都改路由時，後載入的可能覆寫前者，或其中一套直接阻止第二條網路延伸啟動。
• 確認安裝來源可信且版本為官方或本站整理頁取得；若簽章異常，系統可能反覆阻擋。安裝套件建議優先使用本站 下載頁 所連結的版本，避免來路不明的重新打包檔。
• 嘗試建立新使用者帳號測試：若新帳號正常、舊帳號不行，代表舊環境有殘留設定或其他軟體干擾，可再縮小範圍。

結語

在 macOS 上，「系統延伸被阻擋」不是偶發情緒字，而是告訴你：承載 TUN 能力的那條載入路徑尚未完成核准。把「隱私權與安全性」裡該按的按鈕按完、必要時重啟程式或整機，再用路由與終端機實測出口，才算真正把 TUN 從介面開關變成可觀測的網路行為。相較於在規則檔裡無限加行，先把這道系統關卡處理乾淨，通常是最省時間的做法。

若你希望略過過期教學與分散的論壇片段，可從本站整理好的用戶端與文件開始，搭配 Verge 官方釋出說明一起對照。想先挑一款桌面客戶端完整走過訂閱、模式切換與更新流程，也可延伸閱讀 Clash 教學文件 取得一致術語與路徑描述。